近日，國務院發(fā)布了《新時期促進集成電路產業(yè)和軟件產業(yè)高質量發(fā)展若干政策的通知》（以下簡稱“《若干政策》”），其中強調了軟件產業(yè)是信息產業(yè)的核心,是引領新一輪科技革命和產業(yè)變革的關鍵力量。特別是我國近年來軟件產業(yè)的快速發(fā)展,有力支撐了國家信息化建設,促進了國民經濟和社會持續(xù)健康發(fā)展。為進一步優(yōu)化軟件產業(yè)的發(fā)展環(huán)境,深化產業(yè)國際合作,提升產業(yè)創(chuàng)新能力和質量,國務院制定了若干扶持軟件企業(yè)的相關政策。

　　《若干政策》中的第十八條和第三十三條指出“鼓勵軟件企業(yè)執(zhí)行軟件質量、信息安全、開發(fā)管理等國家標準。提高軟件質量,增強行業(yè)競爭力。”“完善網絡環(huán)境下消費者隱私及商業(yè)秘密保護制度,促進軟件和信息技術服務網絡化發(fā)展。在各級政府機關和事業(yè)單位推廣符合安全要求的軟件產品和服務。”這些條款一方面從政策上保障了國內軟件行業(yè)的快速發(fā)展，另一方面也引發(fā)了國內軟件行業(yè)對如何保障軟件安全問題的思考。

國產基礎軟件迎來春天

　　前不久，美國政府單方面宣布將33家中國公司和機構列入所謂的“實體清單”，被列入名單的公司、機構與個人都將禁止使用美國公司的產品和技術。目前國內使用的如Windows操作系統(tǒng)，Oracle數據庫管理系統(tǒng)，Office辦公軟件，到CAD，CAE，EDA，CAM，CFD，TCAD等工業(yè)軟件，包含MATLAB在內的常用數值計算軟件產品幾乎全部來自于歐美國家，而這些軟件也已滲透到了國內技術研發(fā)的方方面面，從高校到企業(yè)，再到政府單位，種種跡象表明，各種軟件斷供的可能性未來會越來越高。

　　更嚴重的問題集中在工業(yè)軟件領域，我國是制造大國，制造業(yè)占比全球約50%，吸納超過1.5億就業(yè)人口，但工業(yè)軟件發(fā)展和應用水平卻與與地位不符。國內自主工業(yè)軟件發(fā)展現狀可以概括為“管理軟件強，工程軟件弱；低端軟件多，高端軟件少”。數據顯示，2018年我國工業(yè)軟件市場上，真正把握生產命脈的研發(fā)設計軟件和生產控制類軟件，自主率只占比13.5%和13.36%。也就是說，一方面，國內自主工業(yè)軟件在生產管理、客戶服務和綜合管理等運營管理領域發(fā)展相對較好，在工程研制領域發(fā)展略顯遜色；另一方面，國內自主工業(yè)軟件在低端領域的競爭力相對較高，高端領域很多還是空白。這種受制于人的局面是非常被動，更是非常危險的。

　　圖一：軟件類別介紹

　　細分來看，我國研發(fā)設計類軟件市場80%被國外公司主導，其中達索系統(tǒng)和西門子PLM市場占有率分別19.05%和10.73%；生產控制類軟件市場有60%左右市場份額被西門子、霍尼韋爾、GE等跨國企業(yè)占據；信息管理類軟件主要由浪潮、用友、金蝶等國內企業(yè)主導，但Oracle、SAP等國外企業(yè)仍占有15%左右的市場份額。高端產業(yè)領域的專用工業(yè)軟件則幾乎全部被國外公司壟斷，如：國內集成電路設計公司的設計工作基本全部依靠Synopsys、Cadence、Mentor三家美國公司提供的芯片設計的電子自動化軟件(EDA)；90%的航空企業(yè)采用達索公司提供的飛機設計軟件。

　　圖二：來自倪光南院士總結的中國網信領域長短板

　　智能化時代的到來，進一步凸顯了工業(yè)軟件的戰(zhàn)略意義。美國GE公司面向2020年的目標就是在傳統(tǒng)制造的基礎上成為全球十大軟件公司之一，在硬件與軟件的結合中尋找新的增長機遇。

　　業(yè)內人士表示，工業(yè)軟件是制造業(yè)的大腦，是核心指揮系統(tǒng)，缺少了大腦的國內制造業(yè)無法實現全生命周期管理。一味的引進國外軟件、設備和生產線會使得國內制造業(yè)變成軀殼，變成全球制造業(yè)的執(zhí)行系統(tǒng)。過度依賴國外工業(yè)軟件，失去的不僅是軟件市場，更存在喪失產業(yè)發(fā)展主動權和影響產業(yè)信息安全的風險。

　　在如此中外貿易摩擦升級，沒有國外軟件可用的外患下，國家正在大力扶持工業(yè)軟件發(fā)展。工信部召開的全國軟件服務業(yè)工作座談會明確指出：要抓住傳統(tǒng)產業(yè)改造升級的迫切需求，大力發(fā)展工業(yè)軟件和行業(yè)解決方案，大力發(fā)展面向企業(yè)研發(fā)設計、生產自動化、流程管理等環(huán)節(jié)的工業(yè)軟件、嵌入式軟件以及解決方案等。從中國制造到中國創(chuàng)造，工業(yè)軟件是個橋梁，國內廠商必將迎來蓬勃發(fā)展的機會。

　　特別是國務院《若干政策》中，鼓勵大中型企業(yè)依托信息技術研發(fā)機構成立專業(yè)化的軟件公司，優(yōu)先在成熟的工業(yè)領域，培育一批具有國際影響力的工業(yè)軟件企業(yè)，有利于發(fā)揮市場應用優(yōu)勢打造一批知名工業(yè)軟件產品；也建議相關部門大力支持國內企業(yè)集團發(fā)揮行業(yè)領域優(yōu)勢和特長，成立專業(yè)化軟件和信息技術服務企業(yè)，培育行業(yè)細分領域的龍頭軟件企業(yè)，打造知名的軟件產品。

　　清華大學軟件學院院長王建民預測，到2025年，我國將形成自主可控的操作系統(tǒng)與工業(yè)軟件及其標準體系，自主工業(yè)軟件具有滿足市場50%的供給能力，自主工業(yè)互聯網云平臺在重點行業(yè)的應用普及率超過60%，工業(yè)軟件市場空間可達數千億。

軟件安全不容忽視

　　據工信部統(tǒng)計，2019年我國累計完成軟件業(yè)務收入約7.18萬億元，軟件和信息技術服務業(yè)實現利潤總額9362億元，盈利能力穩(wěn)步提升。受信息技術服務加快云化發(fā)展，軟件應用服務化、平臺化趨勢明顯，工業(yè)軟件自主化等利好影響，我國軟件行業(yè)發(fā)展不斷加速，迎來由量變向質變的提升新階段。

　　但與此同時，我們也要清醒的認識到軟件開發(fā)安全和應用安全的重要程度，尤其是工業(yè)行業(yè)，作為近年來地緣政治爭奪和網絡空間對抗的主戰(zhàn)場，攻擊事件頻發(fā)、多發(fā)。僅今年上半年，就有包括以色列水利基礎設施、伊朗重要港口朗沙希德·拉賈伊、某汽車制造商、某葡萄牙跨國能源公司在內的多個大型工業(yè)企業(yè)、政府機構遭到攻擊，以色列官員更是承認經濟損失已成為最不重要的損失。世界形式持續(xù)緊張，各種玩家粉墨登場，攻擊覆蓋行業(yè)面廣，石油、能源、電力、制造、水利、公共設施，無一幸免。攻擊手段綜合復雜，數據竊取、隱蔽控制、勒索謀財，無所不用。

　　新興的智能工業(yè)時代使安全成為全球工業(yè)組織的首要任務，工控系統(tǒng)的復雜化、IT化和通用化加劇了系統(tǒng)的安全隱患。尤其是以云、開源、微服務為代表的工業(yè)互聯網，其開發(fā)過程大量使用第三方組件和開源軟件提高軟件迭代效率，但可能有意或無意將第三方組件和開源軟件安全缺陷引入軟件，并將隨著軟件的使用而擴散。

　　根據Sonatype的軟件供應鏈報告顯示，Java、JavaScript和Python的開源組件數量已分別達到了350萬個、550萬個和到140萬個。對中央倉庫中350萬個Java組件的分析結果顯示，超過10%的組件至少包含一個已知漏洞；事實上，研究人員發(fā)現，這些組件中有共計300多萬個漏洞，任何一個漏洞都可能成為攻擊者的攻擊目標。

　　越底層的東西，搭建難度就越大。不重復造輪子是我國軟件行業(yè)快速自主化彎道超車發(fā)展的驅動力，但大量使用開源算法和框架也有可能是在不牢固的地基上蓋樓，一旦底層出現問題，后果不堪設想。

安全開發(fā)行業(yè)市場將迎來爆發(fā)增長

　　在國家高度重視網絡安全保障的情況下，沒有經過合理安全開發(fā)、充分安全測試、有效消除缺陷的“自帶漏洞”軟件產品大量涌入市場、投入實際應用，必將為已初步成形的國家網絡安全保障態(tài)勢帶來新的隱患。

　　微軟于2004年提出安全開發(fā)生命周期（SDL），已有十多年歷史，在幫助開發(fā)人員構建更安全的軟件和解決安全合規(guī)要求的同時降低開發(fā)成本的軟件開發(fā)過程的方法論和工具，重新進入了我國軟件行業(yè)的視野。不同于網絡安全在開發(fā)完成后對軟件的數據交換進行防控，安全開發(fā)旨在從開發(fā)階段將黑客對軟件的攻擊面最小化，從源頭杜絕安全問題。

據統(tǒng)計，應用安全開發(fā)流程工具的平均成本占軟件開發(fā)總成本的3%到5%，卻可以避免因安全事故或黑客入侵而造成遠高于整體開發(fā)成本的損失。       Aberdeen Group的研究表明，采取“從源頭保證安全”策略的公司，其每年在應用安全方面的投資可實現高達4倍的收益，著名的研究公司Forrester Research再次證實了這一發(fā)現，聲稱需求分析層面糾正安全缺陷的成本，比現場修復的成本低100倍。

　　圖三：Microsoft 提出的SDL安全開發(fā)生命周期模型

　　業(yè)界已普遍意識到把安全從運維端左移到開發(fā)過程中，才是更優(yōu)的選項。如微軟這樣的大型企業(yè)也無法避免軟件安全漏洞所帶來的損失，國內軟件行業(yè)也將會同樣面臨安全問題所帶來的嚴峻考驗。國產軟件行業(yè)爆發(fā)的同時，安全需求市場也必將快速崛起。

　　隨著云計算的普遍應用，微服務架構與容器技術的使用趨向成熟，既為企業(yè)業(yè)務高速發(fā)展提供了充足的技術保障，又對軟件開發(fā)運維工作帶來了更高的要求。各企業(yè)適用的開發(fā)運維模型不盡相同，有瀑布模型、敏捷模型、DevOps等，軟件安全一直都是貫穿始終的核心，形成不同的安全開發(fā)模型。在軟件開發(fā)生命周期(Software Development Life Cycle)內，不同的安全開發(fā)模型，適用場景各有側重：SDL安全開發(fā)模型適用于系統(tǒng)軟件，如操作系統(tǒng)，編譯處理軟件，數據庫及管理系統(tǒng)，硬件控制系統(tǒng)等，具有綜合性，周期長，迭代慢等特點，其開發(fā)過程如同瀑布流程，一步一步地進行分析，預測，實現，測試，實施和支持階段；DevSecOps安全開發(fā)模型適用于應用軟件，如文字表格處理，圖形圖像處理，統(tǒng)計演示軟件，網絡通信軟件等，具有周期短、迭代快、市場反饋靈活等特點，與傳統(tǒng)開發(fā)流程相比，能夠幫助企業(yè)更快的發(fā)展和改進產品，更好的服務其客戶，并在市場上高效的參與競爭。

　　開源網安的核心理念與此次國務院頒布的《若干政策》可謂不謀而合。開源網安一直以來秉承“讓企業(yè)交付更安全的軟件”的核心理念，致力于幫助企業(yè)提升軟件的安全與質量，持續(xù)向客戶提供覆蓋軟件安全開發(fā)全生命周期的安全產品、解決方案、安全培訓及安全服務。

　　其中開源網安軟件安全全生命周期平臺（S-SDLC）整合了安全開發(fā)流程、方法、工具，幫助企業(yè)快捷交付安全、可靠的軟件。平臺繼承開源網安龐大的威脅數據庫和安全需求庫，全面覆蓋軟件開發(fā)從架構設計到部署運維各個階段的安全需求。以打造安全的軟件產品為核心目標，基于差距分析和現有開發(fā)流程，著重構造安全開發(fā)能力，可定制化交付。

　　圖四：開源網安S-SDLC平臺解決方案

　　除此之外，開源網安還提供灰盒安全測試平臺(VulHunter)、開源組件安全及合規(guī)管理平臺(SourceCheck)、代碼審核平臺（CodeSec）、模糊測試平臺（SFuzz）、實時應用自我防護平臺（RASP）等多項產品，同時，基于各產品綜合特性，進行優(yōu)化組合，提供DevSecOps平臺解決方案，為保障軟件安全保駕護航。

　　《若干政策》的出臺將進一步推動軟件行業(yè)的高速發(fā)展，而保障軟件安全則是發(fā)展的重中之重。開源網安作為“軟件安全行業(yè)的創(chuàng)領者” 及國內領先的軟件安全全生命周期（S-SDLC）解決方案提供商，未來將不斷提升自身水準，緊跟國家政策，助力政府及企業(yè)保障軟件安全，為推動我國軟件產業(yè)實現高質量發(fā)展作出貢獻。